[GTER] Squid + DMZ

Thiago Sobral sobral at livra.com.br
Fri Feb 25 14:52:35 -03 2005 

Em Sex 25 Fev 2005 13:27, você escreveu:
> o teu squid deve estar resolvendo nomes no ambiente externo, porisso
> obtendo um endereço IP inacessível (na internet). se for esse o problema
> voce pode resolvê-lo colocando views no servidor de nomes, de modo que o
> squid obtenha o endereço correto para os domínios que estão hospedados no
> servidor da DMZ.
no named.conf, configurei as views da seguinte maneira:

view "public" IN {
        match-clients { any; };
        zone-statistics yes;
        recursion no;
        zone "xxxxxx.org.br" {
        type master;
        file "db.xxxx";
        allow-transfer { 200.xxx.xxx.xxx; };
        };
};

view "private" IN {
        match-clients { 192.168.0.0/24; };
        zone-statistics yes;
        recursion yes;
        zone "xxxx.org.br" {
        type master;
        file "db.xxxx";
        allow-transfer { 200.xxx.xxx.xxx; };
        };
};

Porém o erro persiste, há algum parâmetro a mais que eu deveria adicionar ?
na máquina onde está o webserver (192.168.1.3/24 --> NA DMZ), inclusive eu 
criei uma rota para a LAN (192.168.0.0/24) definindo como gateway o servidor 
da história toda --> 192.168.1.1.
Incluindo a resposta do nosso querido colega, enxergo essa topologia propícia 
ao 'split horizon', pois vejo claramente o loop formado.
Há alguma manobra a ser feita com iproute em tabelas distintas + iptables ou o 
lance todo está no DNS + squid mesmo?

> achei meio esquisito que a dmz tenha endereços BCP5. no meu entender DMZ
> faz parte da internet e deveria ter endereços válidos na internet. se
> fosse assim certamente seu squid não se perderia.
Concordo que não se perderia, mas o conceito de se usar endereços não 
roteáveis implica no uso de apenas um firewall, pois se essa máquina tivesse 
um IP válido, estaria na mesma linha do firewall e não seria protegido por 
ele e ainda essa máquina com o webserver necessitaria de um firewall próprio, 
até mesmo dispensando o uso de NAT.
Até aonde eu falei besteira ?!

Por favor senhores, lhes peço ajuda nessa questão e desde já sou grato.

Thiago

More information about the gter mailing list